Implementação da ISO 31000:2018
GESTÃO DE RISCOS
Diretrizes para a Implementação da ISO 31000:2018 ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018
Coordenação e revisão técnica: Francesco De Cicco – Especialista em Gestão de Riscos e Segurança de Sistemas. Instrutor-Líder Certificado CT31000 - Certified ISO 31000 Lead Trainer. Diretor Executivo do QSP – Centro da Qualidade, Segurança e Produtividade para o Brasil e América Latina.
Todos os direitos reservados. É expressamente proibida a reprodução total ou parcial desta publicação, sem a prévia autorização do editor. Copyright 2018 by Risk Tecnologia Editora. Fone: (11) 3704-3200.
Risk Tecnologia
Abril de 2018
Implementação da ISO 31000:2018
ÍNDICE Introdução .....................................................................................................
05
1 Escopo e generalidades ............................................................................
06
1.1 Bases para a gestão de riscos ..............................................................
06
1.2 Benefícios da gestão de riscos .............................................................
07
1.3 Aplicações da gestão de riscos .............................................................
09
1.4 Governança corporativa ........................................................................
10
2 Panorama do processo de gestão de riscos ..........................................
12
3 Comunicação e consulta ..........................................................................
14
3.1 Generalidades ........................................................................................
14
3.2 O que é comunicação e consulta? .........................................................
14
3.3 Por que a comunicação e a consulta são importantes ..........................
15
3.4 Desenvolvimento do processo de comunicação e consulta .................
19
4 Escopo, contexto e critérios ....................................................................
21
4.1 Escopo e contexto .................................................................................
21
4.2 Objetivos e ambiente ..............................................................................
21
4.3 Identificação e análise das partes interessadas .....................................
23
4.4 Critérios ..................................................................................................
24
4.5 Critérios de consequência ......................................................................
24
4.6 Elementos-chave ...................................................................................
25
4.7 Documentação dessa etapa ..................................................................
27
5 Identificação de riscos .............................................................................
28
5.1 Propósito ...............................................................................................
28
5.2 Componentes de um risco .....................................................................
28
5.3 Processo de identificação ......................................................................
29
5.4 Informações para a identificação de riscos ...........................................
30
5.5 Abordagens para a identificação de riscos ............................................
31
5.6 Documentação dessa etapa ..................................................................
31
6 Análise de riscos .....................................................................................
32
6.1 Panorama..............................................................................................
32
6.2 Tabelas de consequências e probabilidades ........................................
39
6.3 Nível de risco .........................................................................................
42
Risk Tecnologia
2
Implementação da ISO 31000:2018
6.4 Incerteza ................................................................................................
44
6.5 Análise de oportunidades ....................................................................
45
6.6 Métodos de análise ...............................................................................
47
6.7 Perguntas-chave ao analisar um risco ..................................................
47
6.8 Documentação da análise .....................................................................
48
7 Avaliação de riscos ..................................................................................
49
7.1 Panorama ..............................................................................................
49
7.2 Tipos de critérios de avaliação ..............................................................
49
7.3 Avaliação a partir de análise qualitativa ................................................
50
7.4 Risco tolerável .......................................................................................
50
7.5 Julgamento implícito nos critérios .........................................................
52
7.6 Critérios de avaliação e eventos anteriores ..........................................
52
8 Tratamento de riscos ...............................................................................
54
8.1 Introdução .............................................................................................
54
8.2 Identificação de opções .........................................................................
55
8.3 Avaliação de opções de tratamento ......................................................
61
8.4 Seleção de opções de tratamento .........................................................
64
8.5 Preparação de planos de tratamento ....................................................
69
8.6 Risco residual ........................................................................................
70
9 Monitoramento e análise crítica ...............................................................
71
9.1 Finalidade ..............................................................................................
71
9.2 Mudança do contexto e dos riscos ........................................................
71
9.3 Garantia e monitoramento da gestão de riscos ....................................
72
9.4 Medição do desempenho da gestão de riscos ......................................
75
9.5 Análise pós-evento ................................................................................
76
10 Registro e relato do processo de gestão de riscos ...............................
78
10.1 Panorama ..........................................................................................
78
10.2 Declaração de conformidade e diligência ..........................................
79
10.3 Cadastro de riscos .............................................................................
79
10.4 Plano de ação e programação do tratamento de riscos ....................
80
10.5 Documentos de monitoramento e auditoria .......................................
80
10.6 Base de dados de incidentes e acidentes .........................................
80
10.7 Manual de gestão de riscos ...............................................................
81
Risk Tecnologia
3
Implementação da ISO 31000:2018
11 Estabelecimento de uma gestão de riscos eficaz ................................
86
11.1 Política ...............................................................................................
86
11.2 Liderança e comprometimento da Alta Direção ................................
87
11.3 Responsabilidade e responsabilização ............................................
87
11.4 Recursos e infraestrutura .................................................................
87
11.5 Mudança de cultura ...........................................................................
88
11.6 Monitoramento e análise crítica da eficácia da gestão de riscos .......
89
11.7 Desafio dos líderes – Integração .......................................................
89
11.8 Desafio dos gerentes – Liderança .....................................................
90
11.9 Desafio de todos – Melhoria contínua ................................................
90
11.10 Mensagens e perguntas-chave para os gerentes ..............................
91
Risk Tecnologia
4
Implementação da ISO 31000:2018
INTRODUÇÃO A gestão de riscos é um processo de negócios muito importante nos setores público e privado no mundo todo. A implementação correta e eficaz da gestão de riscos faz parte das melhores práticas de negócios, tanto no âmbito corporativo quanto no estratégico, e é também uma maneira de buscar a melhoria das atividades operacionais. Neste Manual e na norma ISO 31000:2018, risco é descrito como o efeito da incerteza nos objetivos. Em inglês, o uso da palavra ‘risk’ normalmente tem uma conotação negativa e entende-se risco como algo a ser minimizado ou evitado. Na definição mais genérica da ISO 31000, considera-se que as atividades envolvendo riscos podem ter tanto resultados positivos quanto negativos. Os processos descritos neste Manual da Coleção Risk Tecnologia podem ser usados para identificar e explorar oportunidades de melhorar os resultados organizacionais e de reduzir as consequências negativas. A gestão de riscos, da maneira aqui descrita, é um processo holístico de gestão que se aplica a todos os tipos de organização, em todos os níveis, e também a indivíduos. Os leitores devem estar cientes de que este uso do termo difere de sua forma mais restrita usada em outros setores. Por exemplo, em algumas áreas, os termos ‘gestão de riscos’ e ‘controle de riscos’ são utilizados para descrever as formas de se lidar com os riscos identificados, para as quais empregamos aqui o termo ‘tratamento de riscos’. Alguns outros termos adotados neste Manual também podem ter usos distintos. Por exemplo, os termos ‘análise de riscos’, ‘processo de avaliação de riscos’ e ‘avaliação de riscos’ são utilizados de maneira variada em textos sobre gestão de riscos. Eles geralmente têm definições que se sobrepõem ou que às vezes são intercambiáveis, podendo incluir a etapa de identificação de riscos. Optamos por utilizar a terminologia que serve de base para as normas internacionais (especialmente o ABNT ISO Guia 73). Em algumas áreas, há divisões de responsabilidade entre aqueles que realizam o processo analítico de identificação e análise de riscos e aqueles que tomam decisões sobre a avaliação de riscos e a seleção das ações para tratar os riscos identificados. Isso pode ser útil, uma vez que é importante que a análise de riscos seja vista como independente e seja preferencialmente realizada por especialistas técnicos, sendo os aspectos relativos a decisões quanto à avaliação de riscos e à seleção das opções de tratamento de riscos de responsabilidade dos responsáveis seniores pela tomada de decisões. Este Manual não aborda tais divisões de responsabilidade, mas elas são compatíveis com os processos nele descritos.
ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.
Clique aqui para adquiri-lo. Risk Tecnologia
5
Implementação da ISO 31000:2018
2
PANORAMA DO PROCESSO DE GESTÃO DE
RISCOS Este capítulo está relacionado à seção 6 (Processo) da norma ISO 31000:2018. O processo de gestão de riscos compreende as atividades descritas nas subseções 6.1 a 6.7 da nova edição da ISO 31000 e é apresentado na figura 2.1 a seguir.
Figura 2.1 - Processo de gestão de riscos
As diretrizes detalhadas sobre a aplicação de cada etapa do processo de gestão de riscos são apresentadas na figura 2.2 e nos capítulos a seguir.
Risk Tecnologia
12
Implementação da ISO 31000:2018
3
COMUNICAÇÃO E CONSULTA
Este capítulo está relacionado à subseção 6.2 (Comunicação e consulta) da norma ISO 31000:2018.
3.1
Generalidades A gestão de riscos não é somente uma tarefa técnica, mas também um conjunto de ações e decisões que acontecem em um contexto social. A comunicação e a consulta são partes integrantes do processo de gestão de riscos e deveriam sempre ser consideradas de maneira explícita. A gestão de riscos será aprimorada por meio do entendimento das perspectivas de cada uma das partes interessadas e, quando possível, por meio de sua participação ativa na tomada de decisão. A comunicação e a consulta apropriadas buscam:
3.2
melhorar o entendimento que as pessoas têm dos riscos e do processo de gestão de riscos;
garantir que as diversas visões das partes interessadas sejam levadas em consideração; e
garantir que todos os participantes estejam cientes de seus papéis e responsabilidades.
O que é comunicação e consulta? O conceito de 'comunicação de riscos' geralmente é definido como um processo interativo de troca de informações e opiniões, envolvendo múltiplas mensagens sobre a natureza dos riscos e a gestão de riscos*. Isso se aplica internamente nas organizações, departamentos ou unidades de negócio, ou externamente para as partes interessadas. A comunicação de riscos não solucionará todos os problemas nem todos os conflitos. A comunicação inadequada dos riscos pode levar à perda de confiança e/ou à má gestão de riscos. A consulta pode ser descrita como um processo de comunicação informativa entre a organização e as partes interessadas, antes de ser tomada uma decisão ou de se definir um posicionamento em relação a uma questão específica. A consulta tem as seguintes características:
*
Adaptado do National Research Council. Improving risk communication (Melhoria da comunicação de riscos). National Academy Press. Washington D.C.
Risk Tecnologia
14
Implementação da ISO 31000:2018
É um processo e não um resultado.
Impacta uma decisão por meio da influência, em vez da força do poder.
Refere-se a contribuições para a tomada de decisão, e não necessariamente a uma tomada de decisão em conjunto.
A comunicação e a consulta podem ser realizadas em diferentes níveis, de acordo com o que a situação exigir. Em sua forma mais simplificada: (a) a comunicação de via única significa fornecer informações, tais como relatos anuais, boletins, atas de reuniões, etc; e (b) a comunicação de duas vias significa compartilhar perspectivas, opiniões, posicionamentos, etc. entre as partes interessadas (stakeholders), e entre uma organização e as partes com ela envolvidas.
3.3
Por que a comunicação e a consulta são importantes
3.3.1 Generalidades A comunicação e a consulta são intrínsecas ao processo de gestão de riscos e deveriam ser contempladas em cada etapa. Um aspecto importante do 'estabelecimento do contexto' é a identificação das partes interessadas bem como a identificação e a apreciação de suas necessidades. Pode ser desenvolvido um plano de comunicação, que especifique a finalidade ou o objetivo da comunicação, quem deveria ser consultado e por quem, quando ocorrerá e como será avaliada. Em uma organização, a boa comunicação é essencial para o desenvolvimento de uma 'cultura' em que as dimensões positivas e negativas dos riscos são reconhecidas e avaliadas. A comunicação dos riscos ajuda a organização a estabelecer sua atitude em relação a eles. Envolver outras pessoas, ou pelo menos olhar para as coisas de outro ponto de vista, é um ingrediente essencial e crucial em uma abordagem eficaz de gestão de riscos. O engajamento das partes interessadas torna a gestão de riscos explícita e mais fundamentada, agregando valor à organização. É particularmente importante quando as partes interessadas podem:
ter um impacto na eficácia dos tratamentos de riscos propostos;
ser afetadas por riscos de acidentes;
agregar valor na análise e avaliação dos riscos;
estar sujeitas a custos adicionais; ou
ficar restritas devido aos controles de riscos futuros.
ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.
Implementação da ISO 31000:2018
4
ESCOPO, CONTEXTO E CRITÉRIOS
Este capítulo está relacionado à subseção 6.3 (Escopo, contexto e critérios) da norma ISO 31000:2018.
4.1
Escopo e contexto O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado. Escopo, contexto e critérios envolvem a definição do escopo do processo e a compreensão do contexto externo e interno. Essa etapa é necessária para:
esclarecer os objetivos organizacionais;
identificar o ambiente no qual se buscam os objetivos;
especificar o escopo principal e os objetivos para a gestão de riscos, as condições limitativas e os resultados necessários;
identificar um conjunto de critérios com base nos quais os riscos serão mensurados; e
definir um conjunto de elementos principais para a estruturação do processo de avaliação de riscos.
Essa etapa visa a dar uma visão abrangente de todos os fatores que podem influenciar a capacidade da organização de alcançar os resultados esperados. O resultado dessa etapa será o relato conciso dos objetivos organizacionais e critérios específicos para que se tenha êxito, os objetivos e o escopo da gestão de riscos, e um conjunto de elementos-chave para a estruturação da atividade de identificação de riscos. É especialmente importante que o escopo seja definido claramente, para que o restante do processo permaneça dentro dos limites desejados.
4.2
Objetivos e ambiente Risco é o efeito da incerteza nos objetivos. Sendo assim, para garantir que todos os riscos significativos sejam identificados, é necessário conhecer os objetivos da função ou atividade da organização que está sendo examinada. Os objetivos são a essência da definição do contexto. Os critérios para o êxito organizacional são a base para medir a consecução dos objetivos e, por isso, são utilizados para identificar e mensurar os impactos e as consequências dos riscos que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis).
Risk Tecnologia
21
Implementação da ISO 31000:2018
O primeiro passo no estabelecimento do contexto é identificar os objetivos organizacionais e os ambientes externo e interno nos quais se buscam os objetivos. O segundo passo é estabelecer o escopo da atividade de gestão de riscos e as principais questões e interesses da organização, bem como a relação com a estratégia e os objetivos dos negócios da organização. Pode-se consultar nessa etapa os documentos mais importantes, tais como o plano estratégico, planos de negócios e orçamentos, relatos anuais, análises econômicas e qualquer outra documentação pertinente referente à organização e suas finalidades. Documentos externos, tais como a legislação pertinente, também podem ser consultados. Documentos de análise estratégica, tais como análises SWOT, podem ser úteis, pois ajudam a manter o foco nos aspectos pertinentes dos ambientes externo e interno, conforme ilustra a figura 4.1, adaptada do trabalho de Rowe, Mason, Dickel e Snyder.
ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.
ENTRE POR AQUI PARA ADQUIRI-LO
Risk Tecnologia
22
Implementação da ISO 31000:2018
TABELA 4.3 Elementos para a estruturação do processo de avaliação de riscos Finalidade, objetivos, questões pertinentes Planejamento do negócio e direcionamento estratégico Restrições orçamentárias; financiamento externo Questões operacionais; adequação ao uso; valor do dinheiro Questões técnicas e ambientais; confiabilidade; alocação de esforços técnicos e gerenciais Aspectos ambientais; efeito do meio ambiente nos resultados (por exemplo, acesso, clima) Prazos e programação; aspectos de relações industriais; riscos de implementação Riscos gerais do projeto, identificados no início da etapa de planejamento; decisão de parar/continuar; estruturação comercial; estratégia geral de abordagem de compras Questões ambientais e da comunidade; processos de aprovação; aspectos de financiamento
4.7
Base para a seleção dos elementos Atividades do negócio Itens orçamentários, itens de custo Funções do produto ou serviço fornecido Componentes físicos Localização física e atividades Atividades do negócio ou do projeto Fases do projeto Partes interessadas
Documentação dessa etapa Para uma análise mais abrangente, essa etapa deveria ser documentada para demonstrar que a gama completa de fatores ambientais e contextuais foi considerada. Para uma atividade de nível inferior, um registro sucinto da análise pode ser suficiente. Convém que a documentação dessa etapa identifique os seguintes itens: (a) escopo das atividades de gestão de riscos que serão realizadas e seus resultados esperados; (b) objetivos organizacionais e medidas do sucesso; (c) fatores importantes no ambiente interno e externo; (d) partes interessadas pertinentes; (e) principais critérios de avaliação de riscos; (f) documentos consultados ao se estabelecer o contexto; e (g) elementos-chave por meio dos quais o restante do processo será estruturado.
ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.
Risk Tecnologia
27
Implementação da ISO 31000:2018
6
ANÁLISE DE RISCOS
Este capítulo está relacionado à subseção 6.4.3 (Análise de riscos) da norma ISO 31000:2018.
6.1
Panorama
6.1.1 Generalidades A análise de riscos visa a promover o entendimento da natureza do risco e suas características, incluindo o nível de risco. Além do nível absoluto de risco, a análise ajudará a definir as prioridades e opções de tratamento (ver capítulo 8). O nível de risco é determinado por meio da combinação das consequências e da probabilidade. As escalas e métodos adequados para tal combinação deveriam ser compatíveis com os critérios definidos quando o contexto for estabelecido. Para uma análise mais técnica, a natureza dos dados e a saída esperada determinam os métodos de análise requeridos. O processo de análise normalmente começa com uma abordagem qualitativa simples, que proporciona uma compreensão genérica. Quando for necessário um maior detalhamento ou uma melhor compreensão, também poderá ser necessária uma investigação mais direcionada e aprofundada. Não se pode pressupor que uma análise quantitativa seja superior a uma análise qualitativa. É melhor garantir que seja utilizada a abordagem mais adequada para a situação em estudo. A análise pode ser realizada em diversos momentos, tais como no início de um novo projeto, como parte da gestão contínua, ou como um estudo do que pode ocorrer após os riscos terem sido tratados. Normalmente, a análise verifica e compara o nível atual de riscos com os controles existentes.
6.1.2 Base da análise A escolha do método de análise será influenciada pelo contexto, pelos objetivos e pelos recursos disponíveis. Por exemplo, no âmbito estratégico, podem ser identificadas e analisadas categorias amplas de riscos, para fornecer um perfil dos riscos organizacionais que mostre quais são as questões importantes para as quais precisam ser estabelecidos sistemas de gestão e tratamentos de riscos. No âmbito de um projeto ou equipe, os gerentes precisam identificar e priorizar os riscos específicos que afetam os objetivos que estão incumbidos de alcançar.
Risk Tecnologia
32
Implementação da ISO 31000:2018
Alguns riscos podem requerer um exame mais detalhado. As razões para uma análise detalhada, que pode ser quantitativa ou qualitativa, são: (a) obter mais informações sobre consequências ou probabilidades, para que a decisão sobre prioridades seja tomada com base em informações e dados e não em suposições; (b) melhorar o entendimento que se tem dos riscos e de suas causas, para que os planos de tratamento possam ser direcionados para as causas reais – e não superficiais - do problema; (c) fazer uma análise mais aprofundada, quando os critérios para a tomada de decisão a exigirem (geralmente isso ocorre quando os critérios para a tomada de decisão são expressos quantitativamente); (d) auxiliar as pessoas a escolherem uma entre várias opções, quando cada uma delas tiver custos e benefícios diferentes, derivadas de oportunidades e ameaças potenciais; (e) fazer com que as pessoas que devem operar com riscos compreendam melhor esses riscos; ou (f) fazer com que os riscos residuais sejam compreendidos, após terem sido aplicadas as estratégias de tratamento.
6.1.3 Análise qualitativa A análise qualitativa é um método de análise que utiliza a descrição em vez de meios numéricos para definir o nível de risco, podendo incluir o fornecimento de informações descritivas sobre a natureza das consequências (especialmente quando há muitas consequências diferentes para partes interessadas diferentes, ou quando algumas consequências são intangíveis). Essas informações podem ser agrupadas e sumarizadas em uma única palavra para descrever a consequência e a probabilidade, para serem utilizadas em uma tabela de classificação de riscos. Entretanto, pode ser necessário registrar as informações implícitas nas quais a classificação se baseia, para auxiliar os responsáveis pela tomada de decisão e para dar embasamento às suas conclusões. A análise qualitativa pode ser utilizada: (a) quando não é necessária a precisão quantitativa; (b) para realizar uma avaliação inicial de riscos, antes de uma análise posterior mais detalhada; (c) quando o nível de risco não justifica o tempo e os recursos necessários para a realização de uma análise numérica; ou
ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018. Risk Tecnologia
33
Implementação da ISO 31000:2018
6.2
Tabelas de consequências e probabilidades
6.2.1 Generalidades As tabelas de consequências e probabilidades são utilizadas a fim de fornecer definições para as escalas de classificação, para que haja um entendimento comum de seu significado. As tabelas deveriam ser compatíveis com os objetivos específicos e o contexto da atividade de gestão de riscos. Convém observar que os descritores nesses exemplos foram escolhidos de modo a não usar os mesmos termos das escalas de consequências, probabilidades e riscos, para evitar duplicação em qualquer matriz ou relato posterior.
6.2.2 Consequências A tabela 6.2 traz uma tabela qualitativa simples de consequências, que pode ser utilizada por uma organização com critérios relacionados à segurança e saúde, meio ambiente e sucesso financeiro. Também considera os impactos políticos e financeiros dos riscos, da mesma forma que pode ser encontrada em uma análise de programas do setor público. A tabela 6.3 traz uma tabela descritiva simples. Quando uma tabela traz tipos diferentes de consequências, ou quando o mesmo descritor é utilizado para um determinado nível, então será inferida uma equivalência entre cada consequência. Se isso não for verdadeiro, precisam ser utilizados tabelas e descritores diferentes. Quando se busca a equivalência, é preciso tomar cuidado para garantir que isso seja defensável e, quando possível, convém obter a concordância das partes interessadas.
Risk Tecnologia
39
Implementação da ISO 31000:2018
Técnicas de engenharia de segurança de sistemas, como a Análise de Árvore de Falhas, podem ser utilizadas para analisar as probabilidades em mais detalhes.
6.3
Nível de risco A forma como o nível de risco é descrito dependerá do tipo de análise realizada. A abordagem qualitativa somente pode descrever os riscos de maneira qualitativa – e isso normalmente é feito com termos descritivos. Um exemplo disso é apresentado na tabela 6.6. A análise quantitativa pode, por outro lado, gerar um número, dado ou valor único ou um conjunto de dados detalhados. Quando isso ocorrer, convém tomar cuidado para garantir que as unidades de risco sejam definidas e compreendidas. Convém dar atenção especial à análise quantitativa quando estiverem sendo examinadas consequências que são intangíveis ou difíceis de quantificar, tais como efeitos no meio ambiente ou na segurança, ou a reputação da organização. As hipóteses e seus impactos, bem como seu nível de certeza, também precisam ser definidos. A tabela 6.6 ilustra também o processo e os descritores que podem ser utilizados para combinar o nível das consequências com o nível de probabilidade, para determinar o nível de risco. O número de categorias de risco definidas em uma tabela como essa deveria refletir as necessidades do estudo.
Tabela 6.6
Exemplo de matriz para determinar o nível de risco Classificação da Probabilidade A B C D E
I Médio Médio Baixo Baixo Baixo
Classificação das Consequências II III IV Alto Alto Muito alto Médio Alto Alto Médio Alto Alto Baixo Médio Médio Baixo Médio Médio
V Muito alto Muito alto Alto Alto Alto
NOTA: A relação entre as consequências e a probabilidade será diferente para cada aplicação: o nível de risco atribuído a cada célula deveria refletir isso.
As categorias podem estar associadas ao nível recomendado de atenção da Alta Direção ou à escala do tempo necessário para a resposta requerida. Por exemplo: (a) Risco muito alto ou alto: necessária atenção da Alta Direção e especificação de planos de ação e responsabilidades da Alta Direção. (b) Risco médio: gestão por meio de monitoramento específico ou procedimentos de resposta e especificação das responsabilidades da Alta Direção.
Risk Tecnologia
42
Implementação da ISO 31000:2018
(c) Risco baixo: gestão por meio de procedimentos de rotina; provavelmente não requer aplicação específica de recursos. Outro exemplo simples é mostrado na tabela 6.7.
Tabela 6.7
Exemplo – Matriz simples de nível de risco Probabilidade Provável Possível Improvável
Consequências Moderada Vermelho Amarelo Verde
Maior Vermelho Vermelho Amarelo
Menor Amarelo Verde Verde
Legenda do Tratamento de Riscos Vermelho Amarelo Verde
Ação imediata Ação intensificada Negócios normais
Alta
'Problema' P r o b a b i l i d a d e Baixa
?
Faixa de resultados viáveis
'Catástrofe'
Baixa
Alta
Consequência FIGURA 6.4 - RISCOS COM RESULTADOS DIVERSOS
Muitos eventos de risco podem surgir de diversas maneiras, dentro de uma faixa de resultados e probabilidades associadas. Por exemplo, se um erro de processamento ocorresse em uma organização, poderia ser um problema Risk Tecnologia
43
Aumento dos Riscos Individuais e Preocupações com a Sociedade
Implementação da ISO 31000:2018
Região Geralmente Intolerável (Limite de Segurança Básico)
O risco não pode ser justificado, a não ser em circunstâncias extraordinárias.
ALARP ou Região Tolerável (Objetivo de Segurança Básico)
Conduzir os riscos para a Região Aceitável Amplamente. Risco residual tolerável, somente se não for possível nenhuma outra redução do risco.
Região Aceitável Amplamente
Improvável que a redução do risco seja requerida, devido aos recursos serem provavelmente muito desproporcionais em relação à redução obtida.
Risco Insignificante
FIGURA 7.1
7.5
- O PRINCÍPIO ‘ALARP’
Julgamento implícito nos critérios Os julgamentos de valor estão implícitos em diversos critérios. Eles dependem da familiaridade do indivíduo com o risco, da confiança na eficácia dos controles de riscos existentes, bem como da percepção dos riscos e benefícios da atividade. O mesmo risco pode parecer insignificante para uma pessoa e muito alto para outra. Portanto, os critérios deveriam tentar representar uma visão objetiva, levando em consideração as necessidades de todos que forem afetados, bem como as pessoas de fato sujeitas ao risco. A comunicação e a consulta podem abordar esses pontos (ver capítulo 3).
7.6
Critérios de avaliação e eventos anteriores Os critérios para definir se um determinado risco precisa ser tratado são geralmente estabelecidos recorrendo-se a eventos de atividades semelhantes ocorridos no passado, ou por meio dos antecedentes dos riscos vivenciados no dia-a-dia. Entretanto, os dados podem ser distorcidos devido a:
Risk Tecnologia
52
Implementação da ISO 31000:2018
(a) Acidentes de grandes proporções, catástrofes ou sinistros que ocorrem uma única vez e dominam o conjunto de dados. (b) Um nível de riscos em queda, devido a controles aprimorados à medida que se aprende com os incidentes e acidentes e são melhorados os padrões de controle. Isso significa que critérios baseados em riscos históricos podem não se mostrar rígidos o suficiente para controlar a situação atual. (c) As mudanças ocorridas nas atividades ou nas circunstâncias agora cobertas em relação à situação passada. Por exemplo, o risco geral proveniente de uma amostra de atividades pode ter sido diferente no passado. A definição de critérios de avaliação com base em estimativas de riscos históricos apresenta os seguintes problemas:
Um risco pode precisar ser tratado em diversas circunstâncias, mas não em outras.
Um risco pode ter sido “aceito” no passado, porém poderá não ser “aceitável” atualmente, utilizando-se os métodos de análise vigentes e levando-se em consideração o atual nível de tolerância da sociedade.
Os antecedentes dos riscos são diferentes em situações distintas (por exemplo, em países diferentes), levantando a dúvida se os critérios de avaliação deveriam mesmo ser ajustados à situação e não aplicados globalmente.
Como consequência de problemas como esses, julgamentos de cunho político ou econômico podem ser utilizados adicionalmente aos dados disponíveis sobre riscos.
ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.
Risk Tecnologia
53
Implementação da ISO 31000:2018
11
ESTABELECIMENTO DE UMA GESTÃO DE
RISCOS EFICAZ Este capítulo está relacionado à seção 5 (Estrutura) da norma ISO 31000:2018. NOTA: Para as organizações interessadas em implementar como Estrutura um Sistema de Gestão de Riscos (SGR) baseado na ISO 31000:2018 e nas diretrizes centrais deste Manual, recomenda-se a adoção da norma de requisitos QSP 31000, a qual também pode ser utilizada para fins de auditoria de terceira parte. Mais informações podem ser obtidas pelo e-mail: qsp@qsp.org.br.
11.1 Política Convém que a gestão de riscos seja integrada à filosofia de gestão da organização. Convém que a Alta Direção e os executivos seniores sejam os responsáveis pelo estabelecimento da política de gestão de riscos. A política é um documento sucinto, de nível superior, que aprova uma abordagem para a gestão de riscos e também cria as ligações com outras estratégias da organização. Convém que a política de gestão de riscos seja incorporada às demais políticas de gestão da organização. Alguns exemplos de informações que podem ser incluídas na política de uma organização são: (a) os objetivos e a base para a gestão de riscos; (b) as relações entre a política e os planos estratégico e operacional da organização; (c) a extensão ou gama de riscos que precisam ser gerenciados; (d) diretrizes sobre o que deve ser considerado risco aceitável; (e) autoridades, responsabilidades e responsabilizações; (f) disponibilidade dos recursos necessários; (g) a maneira pela qual os objetivos conflitantes são tratados; (h) medição e relato no âmbito dos indicadores de desempenho da organização; (i) o suporte e conhecimento disponíveis para auxiliar os responsáveis pela gestão de riscos; (j) o nível de documentação requerido; e (k) os requisitos para monitorar e analisar criticamente o desempenho organizacional em relação à política.
ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018. Risk Tecnologia
86
Implementação da ISO 31000:2018
consistentemente o processo for aplicado e quanto maior a maturidade da prática da gestão de riscos, maiores serão os benefícios, conforme descritos no item 1.2 deste Manual.
11.10 Mensagens e perguntas-chave para os gerentes Os gerentes deveriam consistentemente sinalizar que: (a) a gestão de riscos é dever de todos; (b) a gestão de riscos é parte integrante dos negócios, não um trabalho extra ou uma carga adicional; e (c) o processo de gestão de riscos é lógico e sistemático, e deveria se tornar a prática habitual. As mensagens-chave incluem: (i)
Há riscos a serem gerenciados em todas as atividades.
(ii)
Todos são responsáveis – e deveriam prestar contas (responsabilização) - por gerenciar os riscos de suas atividades.
(iii)
As pessoas deveriam ser estimuladas e apoiadas pelos seus líderes a gerenciar riscos.
(iv)
A ISO 31000:2018 fornece uma estrutura e abordagem sistemática para a tomada de decisão sobre como melhor gerenciar os riscos.
(v)
Deveriam ser considerados os requisitos legais e os ambientes político, social e econômico ao gerenciar riscos.
(vi)
As ações para gerenciar riscos deveriam ser integradas aos (e não separada dos) planejamentos e processos operacionais existentes em todos os níveis.
(vii)
A gestão de riscos eficaz depende de informação com qualidade.
As principais perguntas que os gerentes deveriam fazer incluem: (1)
Os objetivos da gestão de riscos estão alinhados com os objetivos de desempenho e com os valores organizacionais?
(2)
Os resultados da gestão de riscos podem ser medidos nesses termos?
(3)
Você pode determinar se a gestão de riscos tem agregado valor para a organização?
(4)
Os programas de gestão de riscos refletem a realidade do ambiente em que você opera?
(5)
Você repassa informações sobre a gestão de riscos, de forma clara e concisa, para avaliação pela Alta Direção e gerências, como apropriado?
Risk Tecnologia
91
ENTRE POR AQUI PARA ADQUIRIR O MANUAL